A többtényezős hitelesítés NPS-bővítményének speciális konfigurációs beállításai
A Hálózati házirend-kiszolgáló (NPS) bővítmény kiterjeszti a felhőalapú Microsoft Entra többtényezős hitelesítési funkcióit a helyszíni infrastruktúrára. Ez a cikk feltételezi, hogy már telepítve van a bővítmény, és most tudni szeretné, hogyan szabhatja testre a bővítményt az igényeinek megfelelően.
Másodlagos bejelentkezési azonosító
Mivel az NPS-bővítmény a helyszíni és a felhőbeli címtárakhoz is csatlakozik, előfordulhat, hogy a helyszíni felhasználónevek (UPN-ek) nem egyeznek a felhőben lévő névvel. A probléma megoldásához használjon másodlagos bejelentkezési azonosítókat.
Az NPS-bővítményen belül kijelölhet egy Active Directory-attribútumot, amelyet a Microsoft Entra többtényezős hitelesítés UPN-jének kell használnia. Ez lehetővé teszi a helyszíni erőforrások kétlépéses ellenőrzéssel történő védelmét a helyszíni UPN-k módosítása nélkül.
Alternatív bejelentkezési azonosítók konfigurálásához nyissa meg HKLM\SOFTWARE\Microsoft\AzureMfa és szerkessze a következő beállításjegyzék-értékeket:
| Name | Type | Default value | Description |
|---|---|---|---|
| LDAP_ALTERNATE_LOGINID_ATTRIBUTE | sztring | Üres | Adja meg az UPN-ként használni kívánt Active Directory-attribútum nevét. Ezt az attribútumot az AlternateLoginId attribútumként használja a rendszer. Ha ez a beállításjegyzék-érték érvényes Active Directory-attribútumra van állítva (például mail vagy displayName), akkor az attribútum értéke a felhasználó upN-jaként lesz használva a hitelesítéshez. Ha ez a beállításjegyzék-érték üres vagy nincs konfigurálva, akkor az AlternateLoginId le van tiltva, és a felhasználó UPN-jét használja a hitelesítéshez. |
| LDAP_FORCE_GLOBAL_CATALOG | Logikai | False | Ezzel a jelzővel kényszerítheti a globális katalógus használatát LDAP-keresésekhez az AlternateLoginId keresésekor. Konfiguráljon egy tartományvezérlőt globális katalógusként, adja hozzá az AlternateLoginId attribútumot a globális katalógushoz, majd engedélyezze ezt a jelzőt. Ha LDAP_LOOKUP_FORESTS van konfigurálva (nem üres), a rendszer a beállításjegyzék-beállítás értékétől függetlenül igazként érvényesíti ezt a jelölőt. Ebben az esetben az NPS-bővítmény megköveteli, hogy a globális katalógus az egyes erdők AlternateLoginId attribútumával legyen konfigurálva. |
| LDAP_LOOKUP_FORESTS | sztring | Üres | Adja meg a keresendő erdők pontosvesszővel tagolt listáját. Például contoso.com ; foobar.com. Ha ez a beállításérték konfigurálva van, az NPS-bővítmény iteratív módon megkeresi az összes erdőt a listázás sorrendjében, és visszaadja az első sikeres AlternateLoginId értéket. Ha ez a beállításérték nincs konfigurálva, az AlternateLoginId keresés az aktuális tartományra korlátozódik. |
Az alternatív bejelentkezési azonosítókkal kapcsolatos problémák elhárításához kövesse az alternatív bejelentkezési azonosítók hibáinak javasolt lépéseit.
IP-kivételek
Ha figyelnie kell a kiszolgáló rendelkezésre állását, például ha a terheléselosztók ellenőrzik, hogy mely kiszolgálók futnak a számítási feladatok elküldése előtt, nem szeretné, hogy az ellenőrzési kérések blokkolják ezeket az ellenőrzéseket. Ehelyett hozzon létre egy listát azokról az IP-címekről, amelyeket a szolgáltatásfiókok használnak, és tiltsa le a többtényezős hitelesítési követelményeket a listához.
Az ENGEDÉLYEZETT IP-címek listájának konfigurálásához nyissa meg HKLM\SOFTWARE\Microsoft\AzureMfa és konfigurálja a következő beállításjegyzék-értéket:
| Name | Type | Default value | Description |
|---|---|---|---|
| IP_WHITELIST | sztring | Üres | Adja meg az IP-címek pontosvesszővel elválasztott listáját. Adja meg azon gépek IP-címét, ahonnan a szolgáltatáskérések származnak, például a NAS/VPN-kiszolgáló. Az IP-tartományok és alhálózatok nem támogatottak. Például: 10.0.0.1; 10.0.0.2; 10.0.0.3. |
Megjegyzés:
Ezt a beállításkulcsot a telepítő alapértelmezés szerint nem hozza létre, és hiba jelenik meg az AuthZOptCh naplóban a szolgáltatás újraindításakor. Ez a hiba figyelmen kívül hagyható a naplóban, de ha ez a beállításkulcs létrejön, és szükség esetén üres marad, akkor a hibaüzenet nem jelenik meg.
Ha egy kérés a kétlépéses ellenőrzésben található IP-címről érkezik, a IP_WHITELISTrendszer kihagyja a kérést. Az IP-lista a RADIUS-kérelem ratNASIPAddress attribútumában megadott IP-címmel van összehasonlítva. Ha egy RADIUS-kérés a ratNASIPAddress attribútum nélkül érkezik, a rendszer a következő figyelmeztetést naplózza: "IP_WHITE_LIST_WARNING::AZ IP-engedélyezési lista figyelmen kívül lesz hagyva, mivel a forrás IP-címe hiányzik a RADIUS-kérelem NasIpAddress attribútumában."